何年もの経験により、セキュリティ上の问题を引き起こすソフトウェアの不具合の约半分は、设计上の欠陥であることがわかりました。コードにセキュリティ上のバグがないかソフトウェアのテストを行ったり、アプリケーションのペネトレーション?テストを行うだけでは、攻撃に対する组织の脆弱性が解消されないまま、问题の约半数が见过ごされています。
厂顿尝颁のどの段阶でも効果的
アーキテクチャ?リスク分析(础搁础)は、システムがセキュア设计の原则に従っていることを确认するための包括的なデザインレビューです。これにより、ソフトウェア开発ライフサイクル(厂顿尝颁)の早期段阶でセキュリティの问题を见つけて修正できます。コードの记述や蚕础テストを実施した后でセキュリティの问题が见つかるよりも、低侵袭で、费用、时间を节约できます。また、アプリケーションの机能と攻撃ベクトルは絶えず进化しているため、たとえシステムがすでに构筑またはデプロイされていても、础搁础は大いに効果を発挥します。
システム设计に潜んでいる欠陥の50%を発见して修正します。
设计のセキュリティに対応することにより、繰り返し発生する一般的なソフトウェアの不具合がコードに含まれないように设计できます。础搁础の特长を以下にご绍介します。
胁威モデルの内容
- 资产をリスクに応じて优先顺位付け
- 胁威を発生确率に応じて优先顺位付け
- 発生の可能性が最も高い攻撃
- 成功または失败する可能性が高い现在の対策
- 胁威を低减するための対策
胁威モデリング
ハッカーの视点からセキュリティ?リスクを分析します。
胁威モデリングは、害を及ぼす可能性がある脅威エージェントの種類を特定します。悪意のあるハッカーの観点を導入して、どの程度の被害が起こり得るかを確認し、一般的で定型化された攻撃のリストに載っていない、新しい攻撃や以前には考慮されていなかった攻撃についても考察します。
胁威モデリングにより、セキュリティ上の4つのシンクホールを回避
胁威モデリングでは、全般的なアタックサーフェスを定義し、以下の情報を特定することができます。
- リストに定义されている一般的な攻撃の范畴を超えた胁威。ありふれた攻撃は、必ずしもシステムをリスクにさらすとは限りません。胁威モデルを実行することで、システムの构筑方法に固有の攻撃を特定できます。
- アーキテクチャに対して胁威エージェントが存在する位置。胁威エージェントの场所、意図、スキル、および能力のモデリングを行い、システムのアーキテクチャに対して潜在的な攻撃者のいる位置を特定します。
- アプリケーション関连の内外の攻撃者から常にフレームワークを保护する方法。
- さらに保护を必要とするコンポーネント。资产、胁威エージェント、およびコントロールに照準を绞り、どのコンポーネント攻撃者が最もターゲットになる可能性が高いかを判断します。
お客様のニーズに合わせてご用意します
リスク?プロファイルと许容范囲は组织によって异なるという认识から、お客様のニーズと予算に応じたアプローチをご用意します。厂测苍辞辫蝉测蝉の総合的なアプローチは次の2つの基本ステップで构成されています。
- システムの主要なソフトウェア?コンポーネント、セキュリティ?コントロール、资产、信頼境界を确认します。
- その后、既存の対策に対して胁威をモデル化し、起こり得る结果を评価します。
セキュア设计审査
アプリケーションのアーキテクチャとインフラストラクチャが商惯行に沿っていることを确认します。
Synopsysのナレッジベースは、関連するベストプラクティスと開発者およびセキュリティチャンピオンへの質問票で構成されます。ほんの一例として、APIセキュリティ、OAuth 2.0、OpenID、JWTセキュリティが挙げられます。
御社のセキュリティ管理策は业界のベストプラクティスにどの程度沿っていますか?
主要なセキュリティ管理策の设计を业界のベストプラクティスとの比较により评価し、构成ミス、脆弱性、误用、欠落が存在しないかを判断します。
欠陥を见过ごしません
厂测苍辞辫蝉测蝉のエキスパートが最大11の主要なセキュリティ管理策を审査し、ペネトレーション?テスト、顿础厂罢、厂础厂罢などのアクティビティでは见つからないシステム不具合を発见します。
